网络漏洞

【美国《新闻周刊》2月21日一期文章】题：因特网的漏洞（作者  贾里德·桑德伯格）
因特网是新经济发展的强大动力，然而其脆弱程度惊人。最近的网络攻击行为并不是要闯入系统，而只是把网络系统的速度减慢。而要攻入网络系统并不难。对因特网漏洞的一项调查表明，更多的麻烦就在后头。
基础设施：最有力的威胁之一就是直接攻击因特网的致命部位——“根域名服务器”。这些服务器储存着因特网地址总清单，并指挥着数据的流动。全世界只有13台根域名服务器，并且已经表现出脆弱性。1997年7月，这些域名服务器之间自动传递了一份新的关于因特网地址分配的总清单，然而这份清单实际上是空白的。这一人为失误导致了因特网出现最严重的局部服务中断，造成数天之内网页无法访问，电子邮件也无法发送。虽然这些巨型服务器之间的漏洞已经基本上被补住了，但是专家们担心其他漏洞仍然存在。朗讯公司网络安全高级研究员比尔·切斯威克说：“如果所有这些域名服务器都无法访问，那么因特网大部分将陷于瘫痪。”
软件：因特网根本上的脆弱性有许多来自于软件的内在弱点。软件的漏洞是软件的特有本质造成的，复杂的软件常常是有漏洞的。程序中包含几百万行指令，在软件投放市场之前并没有有效的办法测试软件。黑客们常常利用软件漏洞进入网站和个人计算机。贝尔实验室研究人员斯蒂夫·贝洛维诺无奈地叹道：“我们不知道如何编制出没有错误的软件。”斯蒂夫强调说，2月6日被黑客闯入、用来攻击受害者的计算机就存在着众所周知的漏洞，可以让未经授权的用户发布指令。而那些破坏分子知道如何利用这些漏洞。
网站、浏览器和操作系统的漏洞已经使那些遵纪守法的用户困扰多年了。比如，1996年，黑客利用软件故障把中央情报局的网站内容改写成“中央蠢蛋局”，并在网站中加入同色情网站的链接。本月早些时候，一家安全公司发现，电子商务网站使用的“购物手推车”程序有11种可以由用户重新填写商品价格。想想看，雪佛兰—开拓者牌轿车才卖1.99美元！
隐私权：如今，所有上网的个人敏感信息如果不加以适当的保护，就会使因特网向最严重的侵犯隐私行为——身份盗用——敞开大门。那时，窃贼就会接管你的储蓄和信用帐户，这种噩梦般的场景要花上数年才能解开谜团。许多金融服务公司需要用户在进入其网站时提供社会保险号码。随着一直在线的因特网联结，比如电缆调制解调器数量越来越多，心怀恶意的黑客们可以用数字技术“嗅识”出对人们生活极为重要的密码数据。
窃贼们已经取得了进展。一个多月前，一名自称“马克西姆”的黑客利用网上音乐销售商“CD宇宙”公司的软件漏洞，盗取了据称30万个信用卡号码。随后，这名黑客尝试了相对较新的网上犯罪形式——勒索钱财。圣诞节那天，他开始在网上公布这些信用卡号码、用户姓名和地址。“CD宇宙”公司拒绝支付勒索，并且报告了联邦政府，而信用卡公司则开始补发信用卡。
人才缺口：一个未被提及的最关键问题就是长期缺少使因特网系统能防御攻击的人才。安全专家说，被黑客劫持用来向攻击目标如洪水泛滥般“发送僵死进程”的计算机，就包含有众所周知的安全漏洞，而修补这些漏洞的程序已经是现成的。爱刺探情况的黑客凭借使用容易获得的软件工具扫描网络，因此他们能够发现网站操作员尚未堵住的弱点。我们只能指望网站管理员和因特网服务提供商们使用当前知名的漏洞弥补程序和安全修补措施。而实际情况却令人惊慌，大部分网络管理员没有这么做，他们如果不是疏忽的话，那就是出于无知。这就是无数起因特网安全系统遭入侵事件的根源。据说，只有几百人掌握了使目前的8000家因特网服务提供商免受攻击破坏的技能。而使这场危机更为复杂的现实是，接受过计算机学培训的大学毕业生数量比12年前要少。卡内基—梅隆大学软件工程研究所所长里奇·派特亚说，这一事实令他“猛然出了一身冷汗”。